Configurazione di OpenWrt con NordVPN

NordVPN supporta OpenWrt?

È stato segnalato che i router con firmware OpenWrt supportano le VPN come NordVPN. Tuttavia, tieni presente che la configurazione descritta di seguito non è stata testata dallo staff di NordVPN: è stata invece condivisa e testata dai nostri eccezionali clienti. NordVPN desidera ringraziare nello specifico ulmwind, un membro attivo della community OpenWrt, per la sua continua assistenza nel fornirci istruzioni aggiornate su OpenWrt.

Questo articolo fornisce due guide alla configurazione di OpenWrt:

• Istruzioni per interfaccia GUI (versione semplificata)
• Istruzioni per interfaccia CLI (più avanzate)

In caso di problemi, contatta il nostro team di assistenza per ricevere aiuto! Questo è un tutorial avanzato, ma fornisce anche alcune istruzioni più semplici.

Istruzioni per interfaccia GUI

In questa guida ti mostreremo come configurare una connessione NordVPN sui router utilizzando il firmware OpenWrt tramite l'interfaccia web LuCI. 

1. Accedi all'interfaccia LuCI del router OpenWrt inserendone l'indirizzo IP locale sul tuo browser ed effettuando l'accesso. L'indirizzo IP predefinito è 192.168.1.1 e il nome utente è root.
   
   
   
   Per impostazione predefinita non è impostata alcuna password, quindi puoi lasciare vuoto questo campo: tuttavia, quando accedi, riceverai un messaggio per impostare una password.
   
   
   Per farlo, clicca su System > Administration dove potrai impostare la password.
2. Dopo aver effettuato l'accesso, entra nella scheda System e poi seleziona Software.
   
   
   
   
3. Clicca sul pulsante "Update lists", attendi il completamento del processo e clicca su "Dismiss".
4. Installa i seguenti pacchetti digitandone il nome nel campo "Filter" e cliccando su "Install…".
   1. openvpn-openssl
   2. ip-full
   3. luci-app-openvpn
      
      
      
      \
5. Clicca su "Save & Apply" e aggiorna la pagina del router. Ora dovresti vedere una nuova scheda col nome VPN. Cliccaci sopra e scegli OpenVPN dal menu a discesa.
6. Ora devi scaricare i file di configurazione del client OpenVPN. Puoi connetterti a un server consigliato tramite il tuo Nord Account.

Segui questi passaggi per trovare i file per la configurazione manuale della connessione:

1. Accedi al tuo Nord Account e clicca su NordVPN.
   
   
   
   
2. Scorri verso il basso fino alla sezione Impostazioni avanzate e clicca su Configura NordVPN manualmente.
   
   
   
   
3. Seleziona la scheda File di configurazione OpenVPN.
   
   
   
   
4. Trova il server a cui desideri connetterti usando la barra Cerca; in alternativa, puoi scorrere verso il basso e scaricarlo cliccando su Scarica UDP o Scarica TCP.
   
   
   
   
5. Quando ti connetti a OpenVPN e IKEv2 manualmente, dovrai usare il Nome utente e la Password riportati nella scheda Credenziali di servizio.
   
   
   
   

Come esempio, in questa guida, utilizzeremo il server us5104.nordvpn.com.

7. Nella sezione "OVPN configuration file upload", assegna un nome alla connessione VPN nel campo "Instance name" (nell'esempio, l'abbiamo chiamata "nordvpn_us"). Dopodiché, clicca sul pulsante "Choose File", individua il file del server scaricato e clicca su "Upload".
   
   
   
   
8. Nella sezione "OpenVPN instances", clicca sul pulsante "Edit" accanto all'istanza che hai appena creato.
   
   
   
   
9. Nel campo in basso, inserisci le tue credenziali del servizio NordVPN digitando il nome utente e la password in righe separate. username
   password
   
   
   Puoi trovare le tue credenziali del servizio NordVPN (nome utente e password) nella dashboard del Nord Account:

Segui i passaggi riportati qui sotto per trovare le credenziali di servizio per la configurazione manuale della connessione:

1. Accedi al tuo Nord Account, clicca su NordVPN e, nella sezione Configurazione manuale, clicca su Credenziali di servizio. Qui troverai il Nome utente e la Password necessari per connetterti manualmente.
   
   
   
   
2. Ora copia il percorso nel file delle credenziali, fornito proprio sopra al campo contenente le credenziali, e incollalo accanto alla riga "auth-user-pass" nella sezione "Config file" sopra.

Dovrebbe apparire così: auth-user-pass /etc/openvpn/nordvpn\_us.auth  

11. Clicca sul pulsante Save in basso.
12. Clicca sulla scheda "Network" nella parte superiore della pagina e seleziona "Interfaces".
13. Seleziona il pulsante "Add new interface…" e assegna il nome "nordvpntun".
14. Clicca sul menu a discesa "Protocol" e scegli "Unmanaged".
15. Nel menu a discesa "Interface", inserisci il nome "tun0" in fondo al campo -- custom -- e premi il tasto Invio.
    
    
    
    

16. Clicca sui pulsanti "Create interface" e "Save".
17. Scegli di nuovo la scheda "Network" in alto e vai alla sezione "Firewall".
18. Clicca sul pulsante "Add" e modifica le impostazioni come segue:
    1. Assegna il nome "vpnfirewall";
    2. Imposta l'opzione "Input" su "Reject";
    3. Lascia "Output" su "Accept" e "Forward" su "Reject";
    4. Seleziona l'opzione "Masquerading";
    5. Seleziona l'opzione "MSS clamping";
    6. Dal menu a discesa "Covered Networks", scegli "nordvpntun";
    7. Nel menu a discesa "Allow forward from source zones", scegli "lan";
    8. Clicca sul pulsante "Save".
       
       
       
       

19. Nella sezione "Zones", trova la zona denominata "lan" e clicca sul pulsante "Edit".
    
    
    
    

20. Nel menu a discesa "Allow forward to destination zones", seleziona la voce "nordvpntun".
    
    
    
    

21. Clicca di nuovo su "Network" nella parte superiore della pagina e poi scegli "DHCP and DNS" dall'elenco a discesa.
22. Nella scheda "General Settings", individua l'opzione "DNS forwardings" e inserisci lì gli indirizzi DNS di NordVPN. Gli indirizzi sono: 103.86.96.100 e 103.86.99.100.
    
    
    
    

23. Vai alla scheda "Resolv and Hosts Files", seleziona la casella "Ignore resolve file" e clicca sul pulsante "Save & Apply".
    
    
    
    

24. Infine, torna alla scheda "VPN" > "OpenVPN".
25. Nella sezione "OpenVPN instances", seleziona "Enable" accanto all'opzione NordVPN nell'elenco e clicca sul pulsante "Save & Apply".
    
    
    
    

26. Clicca sul pulsante "Start" accanto all'istanza NordVPN creata per connetterti al server VPN.

Dopo aver seguito queste istruzioni, dovresti riuscire a collegarti utilizzando la connessione configurata. Per verificare se la procedura è andata a buon fine, vai alla homepage di NordVPN: nella parte superiore della pagina dovresti vedere lo stato "Protetto".

Se vuoi interrompere la connessione VPN, clicca sul pulsante "Stop" accanto all'opzione NordVPN nella sezione "VPN" > "OpenVPN" > "OpenVPN instances".

Istruzioni per interfaccia CLI

Se cerchi un tutorial di livello più avanzato, segui invece questa guida. Per ottenere i vantaggi di una VPN su OpenWrt, devi avere a disposizione un router con firmware OpenWrt e un client OpenVPN abilitato. La pagina principale del firmware è https://openwrt.org/.

1. Per iniziare, devi accedere al router tramite l'SSH utilizzando il suo indirizzo IP LAN. Per impostazione predefinita, l'indirizzo IP è impostato su 192.168.1.1 e il nome utente è root; tuttavia, l'indirizzo IP potrebbe essere diverso se in passato avevi modificato uno dei valori predefiniti.
2. Il pacchetto OpenVPN non è incluso nell'immagine del firmware per impostazione predefinita. Per installarlo, esegui i seguenti comandi: opkg update
   opkg install openvpn-openssl
   opkg install ip-full Puoi inoltre installare il componente LuCI della configurazione OpenVPN, anche se questa opzione è facoltativa. Puoi farlo eseguendo questo comando: opkg install luci-app-openvpn
3. Dopo aver installato il pacchetto OpenVPN, puoi impostarne l'avvio automatico ogni volta che il router si accende eseguendo questo comando: /etc/init.d/openvpn enable
4. Dopodiché, dovrai scaricare i file di configurazione del server.

Segui questi passaggi per trovare i file per la configurazione manuale della connessione:

1. Accedi al tuo Nord Account e clicca su NordVPN.
   
   
   
   
2. Scorri verso il basso fino alla sezione Impostazioni avanzate e clicca su Configura NordVPN manualmente.
   
   
   
   
3. Seleziona la scheda File di configurazione OpenVPN.
   
   
   
   
4. Trova il server a cui desideri connetterti usando la barra Cerca; in alternativa, puoi scorrere verso il basso e scaricarlo cliccando su Scarica UDP o Scarica TCP.
   
   
   
   
5. Quando ti connetti a OpenVPN e IKEv2 manualmente, dovrai usare il Nome utente e la Password riportati nella scheda Credenziali di servizio.
   
   
   
   
6. In questa guida usiamo a titolo di esempio il server uk2054.nordvpn.com, ma nel tuo caso dovresti connetterti al server che il sito web ti suggerisce. Per scaricare il file di un server, scegli il Paese al quale desideri connetterti, clicca su "Mostra protocolli disponibili", clicca con il pulsante destro su "Scarica configurazione" per "OpenVPN TCP" o "OpenVPN UDP" e scegli "Copia link". Dopodiché, torna alla sessione SSH ed esegui il seguente comando: wget -P /etc/openvpn https://downloads.nordcdn.com/configs/files/ovpn_udp/servers/uk2054.nordvpn.com.udp.ovpn Nel comando sopra, ricorda di usare il link al file del server specifico che avevi copiato in precedenza. Questo comando scaricherà il file di configurazione nella directory /etc/openvpn per un facile accesso. In alternativa puoi scaricare il file di configurazione del server su una macchina diversa e trasferirlo sul router OpenWrt usando vari metodi, come i protocolli SCP o SFTP. Per le build OpenWrt meno recenti:
   Ti basterà scaricare un archivio qui https://downloads.nordcdn.com/configs/archives/certificates/servers.zip. Nell'archivio scaricato troverai i file corrispondenti con estensioni .crt e .key. I file sono specifici per ciascun server VPN.
7. La configurazione OpenVPN per NordVPN richiede di inserire il nome utente e la password del servizio NordVPN ad ogni avvio di OpenVPN. Apporteremo tuttavia alcune modifiche per fare sì che le credenziali vengano fornite automaticamente. Innanzitutto, per semplificare il processo, installeremo l'editor di testo nano eseguendo il seguente comando: opkg install nano In alternativa, puoi usare l'editor di testo integrato vi. Per ulteriori informazioni sugli editor di testo, consulta questo articolo: https://openwrt.org/docs/guide-user/base-system/user.beginner.cli. Ora apri il file di configurazione del server scaricato utilizzando l'editor di testo nano. Nel nostro caso, il comando sarà: nano /etc/openvpn/uk2054.nordvpn.com.udp.ovpn Dopodiché, aggiungi la parola "secret" (senza virgolette) alla stringa "auth-user-pass". La riga risultante sarà quindi: auth-user-pass secret Ora dobbiamo creare un nuovo file che chiameremo secret, in cui verranno conservate le credenziali del servizio NordVPN. Per farlo, esegui il seguente comando: nano /etc/openvpn/secret Così facendo, verrà creato il nuovo file che si aprirà usando l'editor di testo nano. Nella prima riga del file inserisci il tuo nome utente del servizio NordVPN e, nella seconda, la password del servizio NordVPN. Puoi trovare le tue credenziali del servizio NordVPN (nome utente e password) nella dashboard del Nord Account.

Segui i passaggi riportati qui sotto per trovare le credenziali di servizio per la configurazione manuale della connessione:

1. Accedi al tuo Nord Account, clicca su NordVPN e, nella sezione Configurazione manuale, clicca su Credenziali di servizio. Qui troverai il Nome utente e la Password necessari per connetterti manualmente.
   
   
   
   
2. Configura OpenVPN utilizzando il file di configurazione scaricato in uno dei due modi:
   1. Modifica l'estensione del file da .ovpn a .conf, per consentire a OpenVPN di trovarlo automaticamente tramite la sua estensione. Per farlo, puoi usare il comando mv: mv /etc/openvpn/uk2054.nordvpn.com.udp.ovpn /etc/openvpn/uk2054.nordvpn.com.udp.conf
   2. Specifica il nome del file in "/etc/config/openvpn" usando i seguenti comandi "uci": uci set openvpn.nordvpn=openvpn
      uci set openvpn.nordvpn.enabled='1'
      uci set openvpn.nordvpn.config='/etc/openvpn/uk2054.nordvpn.com.udp.ovpn'
      uci commit openvpn Dopodiché, il file "/etc/config/openvpn" dovrebbe contenere le seguenti stringhe aggiunte: config openvpn 'nordvpn'
      option enabled '1'
      option config '/etc/openvpn/uk2054.nordvpn.com.udp.ovpn' Puoi verificarlo eseguendo questo comando: tail /etc/config/openvpn Puoi anche modificare l'estensione del file da .ovpn a .conf e specificarla nel file "/etc/config/openvpn"; tuttavia, in questo caso, OpenVPN si avvierà con questo file di configurazione solo una volta.\
3. Crea una nuova interfaccia di rete eseguendo i seguenti comandi: uci set network.nordvpntun=interface
   uci set network.nordvpntun.proto='none'
   uci set network.nordvpntun.ifname='tun0'
   uci commit network Il file "/etc/config/network" dovrebbe contenere le seguenti stringhe aggiunte, se la procedura è stata eseguita correttamente: config interface 'nordvpntun'
   option proto 'none'
   option ifname 'tun0' Puoi verificarlo usando il comando tail /etc/config/network.
4. Crea una nuova area firewall e aggiungi una regola di inoltro dalla LAN alla VPN eseguendo i seguenti comandi: uci add firewall zone
   uci set firewall.@zone[-1].name='vpnfirewall'
   uci set firewall.@zone[-1].input='REJECT'
   uci set firewall.@zone[-1].output='ACCEPT'
   uci set firewall.@zone[-1].forward='REJECT'
   uci set firewall.@zone[-1].masq='1'
   uci set firewall.@zone[-1].mtu_fix='1'
   uci add_list firewall.@zone[-1].network='nordvpntun'
   uci add firewall forwarding
   uci set firewall.@forwarding[-1].src='lan'
   uci set firewall.@forwarding[-1].dest='vpnfirewall'
   uci commit firewall Se l'operazione è stata eseguita correttamente, "/etc/config/firewall" dovrebbe contenere le seguenti stringhe aggiunte: config zone
   option name 'vpnfirewall'
   option input 'REJECT'
   option output 'ACCEPT'
   option forward 'REJECT'
   option masq '1'
   option mtu_fix '1'
   list network 'nordvpntun' config forwarding
   option src 'lan'
   option dest 'vpnfirewall' Puoi verificarlo eseguendo il comando tail -13 /etc/config/firewall. Verranno visualizzate le ultime 13 righe, che dovrebbero contenere le suddette stringhe.
5. Ora devi configurare i server DNS. Il modo più semplice per farlo consiste nell'usare il DNS di NordVPN per l'interfaccia WAN del router. Per aggiungere il DNS di NordVPN, esegui i seguenti comandi:

uci set network.wan.peerdns='0'  

uci del network.wan.dns  
uci add\_list network.wan.dns='103.86.96.100'  
uci add\_list network.wan.dns='103.86.99.100'  
uci commit  
  
_Se dovesse apparire il messaggio di errore "__uci: Entry not found__" dopo aver eseguito il comando_ _uci del network.wan.dns_, puoi ignorarlo._    
  
Il file "/etc/config/network" dovrebbe contenere la sezione 'wan' con l'aggiunta di tre stringhe alla fine:  
  
config interface 'wan'  
<...>  
option peerdns '0'  
list dns '103.86.96.100'  
list dns '103.86.99.100'  
  
Puoi verificarlo eseguendo il comando cat /etc/config/network e controllando che sia presente l'interfaccia 'wan' nell'output.  
  
Puoi anche aggiungere indirizzi DNS diversi, come quelli di Google, eseguendo questi comandi:  
  
uci set network.wan.peerdns='0'  
uci del network.wan.dns  
uci add\_list network.wan.dns='8.8.8.8'  
uci add\_list network.wan.dns='8.8.4.4'  
uci commit  
  
Le stringhe aggiunte dovrebbero essere simili alle precedenti.  
 

(Facoltativo) Per evitare che il traffico trapeli in caso di disconnessione del tunnel VPN, apri il file "/etc/firewall.user" usando un editor di testo e aggiungi il seguente contenuto:

# Questo file viene interpretato come uno script di shell.

# Inserisci qui le tue regole iptables personalizzate, che verranno eseguite in occasione di ogni (ri)avvio del firewall

# Le catene interne del firewall uci vengono svuotate e ricreate al ricaricamento, quindi

# inserisci le regole personalizzate nelle catene radice, ad esempio INPUT o FORWARD, o nelle

# catene utente speciali, ad esempio input_wan_rule o postrouting_lan_rule.

if (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then

iptables -I forwarding_rule -j REJECT

fi

Dovrai inoltre creare un file col nome "99-prevent-leak" nella cartella "/etc/hotplug.d/iface", eseguendo nano /etc/hotplug.d/iface/99-prevent-leak e aggiungendo il seguente contenuto al file:

#!/bin/sh

if [ "$ACTION" = ifup ] && (ip a s tun0 up) && (iptables -C forwarding_rule -j REJECT); then

iptables -D forwarding_rule -j REJECT

fi

if [ "$ACTION" = ifdown ] && (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then

iptables -I forwarding_rule -j REJECT

fi

In alcuni casi, la connessione OpenVPN potrebbe subire un arresto anomalo riportando un messaggio di avviso simile a "couldn't resolve host…". In questi casi il tunnel VPN di per sé rimane attivo, ma la connessione viene persa. Per riconnetterti automaticamente, innanzitutto apri il file "/etc/rc.local" utilizzando un editor di testo e aggiungi la seguente riga:

/etc/openvpn/reconnect.sh &

Dovrai inoltre creare il file "reconnect.sh" nella directory "/etc/openvpn". Puoi farlo eseguendo il comando nano /etc/openvpn/reconnect.sh.

Nel file, inserisci i seguenti contenuti dello script:

#!/bin/sh

n=10

while sleep 50; do

t=$(ping -c $n 8.8.8.8 | grep -o -E '[0-9]+ packets r' | grep -o -E '[0-9]+')

if [ "$t" -eq 0 ]; then

/etc/init.d/openvpn restart

fi

done

Dopo aver seguito queste istruzioni, dovresti riuscire a collegarti utilizzando la connessione configurata. Per verificare se la procedura è andata a buon fine, vai alla homepage di NordVPN: nella parte superiore della pagina dovresti vedere lo stato "Protetto".

Se desideri interrompere la connessione VPN, esegui il seguente comando:

service openvpn stop